OutDoorFrog의 리버싱 이야기
POC 2018 컨퍼런스 후기 본문
POC 컨퍼런스에 참여했습니다!
0. 참여 계기
해킹 캠프 이후로 진지하게 고민을 했습니다.
POC 2018 컨퍼런스에 참가해야할까?
POC, Power Of Community에서 주관하는 컨퍼런스로써
유명한 정보보안전문가님들이 흥미로운 주제를 가지고 발표를 하고
벨루미나, Power Of XX 같은 유명한 해킹 대회가 진행되며
다양한 이벤트(미니 CTF, VR Challenage)가 진행되는 곳입니다.
1. 메리트와 사람의 그릇
POC 2018 컨퍼런스에 참여 시 소득을 예상할 수 있는 메리트는
1. 개인 프로젝트에 대한 아이디어를 떠올릴 수 있을지도 모릅니다.
지금 저에게는 웹 클라우도 서비스 구축과 취약점 진단, 행위 분석 기반의 악성코드 탐지 및
보고 시스템 구축이라는 프로젝트가 있습니다.
BOB 프로젝트 8기 인원 모집까지 4월 3주가 남았지만 보유한 IDEA가 많을수록 좋았습니다.
2. 많은 사람과들과 교제할 수 있는 기회가 주어집니다.
제가 내성적이고 칙칙한 성격을 가지고 있지만 못해도 2명 이상의 새로운 지인과 관계를
만들어나갈 자신은 있었습니다.
어쩌면 외국인과 교제도 가능할지 모르기도 했습니다.
3. Windows 운영체제에 대한 숙련도를 좀 더 향상시킬 수 있습니다.
비디오로만 듣던 아키텍쳐의 설명을 생생하게 설명해주는 모습을 들을 수 있을지도 모릅니다.
커널에 관련된 질 좋은 지식들을 접할 수 있는 좋은 기회입니다!
4. BOB 내부 프로젝트에 관련된 정보를 수집할 수 있는 기회가 주어집니다.
사진 촬영, 동영상 촬영은 불가능하지만 BOB 내부 프로젝트에 대해 세부적으로 파악할 수 있는
기회입니다.
지원하려는 트랙에 맞춰서 프로젝트 주제를 수정, 점검해볼 수 있는 몇 안되는 기회입니다.
.
.
.
장점을 나열해보니 메리트로 이뤄진 만찬이군요.
만찬과도 같지만 사람마다 각자의 맞는 그릇이 있습니다.
POC 컨퍼런스의 장점을 극한까지 이끌어내고 싶다면
기술 용어와 영어 리스닝으로부터 자유로워야 합니다.
처음 보는 사람들과 잘 교제할 수 있는 사교 능력이 필요합니다.
포너블은 기본, 상당한 정보보안 분야에 대한 지식과 경험이 필요합니다.
만약 2019년에 이 글을 보고 POC 컨퍼런스에 참가하고 싶은 분이라면
제가 나열한 이 3가지 사항을 확인해주시고 생각을 재고해주시길 부탁드립니다.
특히 영어 리스닝 실력에 대해서 깊게 고민하신 후에 참가를 결정하시길 바랍니다.
2. 일정 설명
Windows 관련 주제의 발표 내용을 최대한 흡수, 많은 정보를 모으기 위해
최대한 빈 시간이 없도록 일정을 잡았습니다.
11월 8일 일정입니다!
09:30 - 10:30 :
발표자 : Samuel Groß
주제 : IPC MitM : Exploiting a Fun Logic Bug for Kernel-Mode Code Execution on MacOS
10:35 - ??:?? :
발표자 : Dasom Kim, Sangsu Jeong, (알고 있는 분)
주제 : Correlation analysis between deep web users
13:20 - 14:20 :
발표자 : Gmliu (윈도우)
주제 : Windows Kernel Fuzzing
14:30 - 15:30 :
발표자 : Nikita Tarakanov, (윈도우)
주제 : Automating Windows Kernel Pool Overflow/Corruption Exploits Development
15:35 : ??:?? :
발표자 : 박준영, 한창현, 피대권, 조수민, 송상현, (BOB)
주제 : AMI의 DLMS/COSEM 프로토콜 취약점에 관한 연구
17:10 - 18:10 :
발표자 : Yunhai Zhang, (윈도우)
주제 : Diving into Windows Defender Application Guard
(목표와 연관성이 있는 주제 굵게 처리)
저도 제가 연구한 내용을 POC 2019 컨퍼런스에서 발표해보고 싶었습니다.
그래서 제가 발표하고 싶은 주제와 관련성 있는 발표나
지인분의 발표에서 많은 정보를 얻을 수 있을거라 확신했습니다.
11월 9일 일정입니다!
09:30 - 10:30 :
발표자 : Kang Li
주제 : Practical evading attacks on commercial AI image recognition services
10:35 - ??:?? :
발표자 : Pangu Team
주제 : Introduce Janus - A Mobile Threat Intelligence Platform
11:00 - 12:00 :
발표자 : WYP (BOB)
주제 : Vulnerability analysis of Z-wave products used in Korea
13:00 - ??:?? :
발표자 : 김지섭, 조진호, 최강현 (BOB)
주제 : Enhanced Smart Home Network Security through Analysis of IoT Hub
Vulnerabilities
13:30 - 14:30 :
발표자 : Jin Liu, Chong Xu
주제 : Pwning Microsoft Edge Browser: From Memory Safety Vulnerability to Remote
Code Execution
15:00 - 16:00 :
발표자 : Ned Williamson
주제 : Exploiting Chrome IPC
16:05 - ??:?? :
발표자 : 최지헌, 김진영 (BOB)
주제 : P2P Based Open Threat Intelligence
16:30 - 17:30 :
발표자 : Liang Chen,
주제 : Era of iOS 12 with A12: End of iOS War?
(목표와 연관성이 있는 주제는 굵게 처리)
BOB 내부에서는 어떤 프로젝트를 추진하는지 궁금했습니다.
BOB에서도 영어로 발표를 하는지에 대한 여부도 궁금했습니다.
(만약 맞다면 프로젝트를 1개로 줄이고 영어에 투자량을 늘릴 생각이였습니다)
3. POC 2018 참가 후기
Windows, BOB, WhatEver Talk Session 이외 몇몇 발표들은
특히 브라우저 익스, iOS 탈옥에 대한 내용은 진짜 이해하기 힘들었습니다.
3.1 Correlation analysis between deep web users
번역 : 딥 웹 사용자 간의 상관 관계 분석
정상수님과 김다솜님의 발표였습니다.
줄거리는.. 딥웹에 대한 간단한 소개, 딥웹이 악용되는 사례를 소개한 후
DeepWeb에서 발견된 멀웨어 포럼에 대하여 간단히 소개해주셨습니다.
중요한 정보를 어떻게 모으는지에 대해서 얘기를 해주셨습니다.
"NULLED" 플랫폼에서 장점과 기능들을 말씀해주신 후
Harangi에서 개발한 "OSINT"에 대해 말씀하셨습니다.
Demo 버전이 사용되는 몇 슬라이드를 보여주셨고..
유져들을 어떻게 트래킹하는지 알려주시고
Obbeded Code에 대해 말씀해주셨습니다.
가장 기억에 남고 잘 해석이 된 부분은...
사용된 샘플을 설명해주실 때였습니다.
SkyWyder RAT, DynAmite, Discord Token Stealer
이 3가지 샘플을 분석한 이야기를 들려주실 때였는데..
특이한 점은 C / C++을 이용해 만들어진 악성코드가 없었습니다.
그리고 Discord Token Stealer라는 악성코드는 굉장히 기억에 남더군요.
"Discord에도 벌써 저런 악성코드가 생겨났구나", 세월의 변화를 느꼈습니다.
(옛날에는 Discord 대신 다른 메신저들 썼는데 향수가 느껴집니다)
발표를 본 소감은 이렇습니다.
옥의 티로 스피킹할 때 발음이나 약간 빠른 속도로 진행했던 점이 아쉬었습니다.
다음에 국내에서 영어로 발표하실 때 영어와 같이 한국어를 지원해주신다면
영어를 잘 못하는 일부의 한국인들도 발표 내용을 수월하게 흡수할 수 있을 것 같습니다.
(이런 배려를 안 받아도 되도록 영어 리스닝 수련을 열심히 해야겠습니다!)
전체적으로 PPT의 구성이 최적화 되어 있고, 대본도 없이 발표를 하는데 막힘 없는 모습에
POC 스탭, 발표자분들께서 얼마나 많은 시간을 들였는지 알 수 있었습니다.
OSINT를 이용, 3가지 악성코드 샘플을 분석해보고 싶게 만드는 발표였습니다.
발표자님들께서 발표 자료를 공개해주셨습니다.
링크 공유해드립니다! ^^7
3.2 Windows Kernel Fuzzing
Gmliu님께서 윈도우 커널 퍼징에 대해서 발표해주셨습니다.
확인해보고 싶은 점들 중에서...
포너블, 영어 리스닝이 가능한 사람과 불가능한 사람의 차이를 확인해보고 싶었는데
그래도 Windows 관련 공부를 조금했으니 이해력 증가 효과를 기대하고 있었습니다.
하지만 영어 리스닝 실력이 발목을 잡을 줄은 몰랐습니다.
발표자님께서 Gmliu라는 닉네임을 사용하는 서양인이라고 추측했습니다.
(정보가 없어서 그리 추측했었는데 최대의 실수였습니다)
근데... Gmliu님은 중국인이셨습니다.
영어는 세계공용어로 사용되고 있습니다.
하지만 우리나라에 사투리가 있듯이 각 나라마다 특유의 영어가 존재합니다.
특유의 영어에 적응된 나라 : 미국(느리게), 영국(느리게), 인도(보통)
원할한 발표 내용 이해를 위해 중국의 영어에도 적응을 했어야 했는데.. 판단 미스였습니다.
발표의 내용은..
윈도우 커널 퍼징을 할 때 어떤 오브젝트를 노려야하는지 말씀해주셨습니다.
(아마 Windows 10 기준인 듯 합니다)
GDI Objects (DC ,Bitmap, Palette, Rgn, pen,Brush,Path)
User Objects (Desktop, Menu, Icon, Hook, Accelerator table, Window)
Target Module (Win32k.sys, Win32kfull.sys, Win32kbase.dll, Ntoskrnl.exe)
다만 요즘 GDI Object 관련 취약점은 찾기 힘들다는 듯 했습니다.
(윈도우의 커널 보안의 튼튼함을 간접적으로 느꼈습니다)
퍼징에 대한 정의, 퍼징 프레임워크에 대한 아키텍쳐를 알려주시고
관심을 가져야할 주요 함수에 대해 말씀해주시더군요.
커널 취약점은 최소 11개 이상 찾았다는 말씀에 깜짝 놀랐습니다.
(저것이 월드클래스 킹갓이라는 것인가??)
발견하신 취약점의 발생 원리에 대해서 가르쳐주셨는데..
포너블의 개념을 몰라서 거의 흘려들었습니다.
(어떠한 흐름으로 작업을 하는가에 대해서는 대략 감은 잡히더군요)
래퍼런스를 공유해주셨는데 커널 퍼징에 관심이 있으신 분은 참고해보시면 좋을 듯 합니다.
Automating Windows Kernel Pool Overflow/Corruption Exploits Development의 내용은
제가 윈도우 커널 퍼징에 관련된 프로젝트를 진행해보고 말씀드리겠습니다.
첫 번째로 책을 읽었을 때와 두번째로 책을 읽었을 때 볼 수 있는 범위가 다르듯이
세부적인 내용을 파악해서 여러분께 유익한 포스트를 쓰고 싶습니다.
3.3 BOB (4명)
BOB 내부에서 어떤 프로젝트를 진행하는지 알고 싶었습니다!
아는 지인을 통해 간접적으로 BOB 내부 프로젝트에 대한 소식을 접하지만..
컨퍼런스에서 발표하는만큼 직접적, 공식적으로 소식을 접해볼 기회는 흔하지 않습니다.
이런만큼 POC 컨퍼런스에서의 기회를 최대한으로 활용해야 했습니다.
3.3.1 P2P Based Open Threat Intelligence
최지헌, 김진영님께서 발표하셨습니다!
악성 코드 샘플과 정보를 공유해주는 플랫폼을 주제로 발표를 하셨습니다.
관련된 오픈 소스로는 Clam AV, Malshare 등이 있었고
개발했을 때의 요구 사항은..
악성코드 샘플을 자유롭게 공유할 수 있습니다.
분석 정보는 누구나 공유받을 수 있습니다.
누구나 참여가 가능해야 합니다.
분산화된 시스템
프로젝트에서는 3개의 노드가 존재했었는데..
분석가
수집가
저장소
각 노드마다 결과물, 해야하는 일, 필요한 것들이 있습니다.
아키텍처까지 정의되어 있었고
백신 엔진은 PE file 시그니처 기반 탐지를 사용한다고 말씀하셨습니다.
악성코드 샘플, 정보 공유 플랫폼에 블록체인과 랭킹 시스템을 접했다는 점이 흥미로웠습니다.
악성코드 분석이라는 종목에 랭킹 시스템을 접한 이 플랫폼이 커진다면
과연 악성코드 분석가들에게 어떤 영향을 미칠까 궁금하더군요.
정보보안전문가나 일반인이 편하게 사용할 수 있는 도구를 개발하는 것뿐만 아니라
정보보안 분야의 좋은 영향을 가져다줄 플랫폼을 만들어내는 방법을
보안제품개발 트랙에서 배우는 것 같습니다.
좀 더 실력을 키워서 BOB 8기 때 지원해보고 싶네요.
오 발표자료가 공개되었네요!
링크입니다!
3.3.2 Enhanced Smart Home Network Security through Analysis of IoT
Hub Vulnerabilities
최강현, 김지섭, 조진호님께서 발표하셨습니다.
IOT Hub가 어떤 역할을 하는지 설명하셨습니다.
주변 IOT 기기를 쉽게 통제하기 위해 만들어졌습니다.
스마트홈 네트워크를 구축할 시에 사용합니다.
이 주제를 고른 이유를 설명해주셨습니다.
IOT 시장이 점점 커지고 있습니다.
공격자는 단 한 번의 Exploit으로 네트워크를 통제할 수 있게 되어집니다.
IOT Hub가 공격받으면 추가적인 어택 벡터를 얻는 것입니다.
펌웨어 추출 방법, 과정에 대해서 설명하고, 덤프를 하는 방법에 대해서,
추출한 펌웨어가 암호화되어 있는 파티션이 존재했을 때 어떻게 대처했는지 가르쳐주셨습니다.
1-day 취약점을 분석했고, 0-day 취약점을 발견했다고 들었습니다.
BackDoor, Command Injection, memory corruption 등의 취약점이 있고
펌웨어 추출을 막기 위해 디버깅 포트를 막거나 시큐어 코딩이 필요하다고 들었습니다.
발표자님께서 한글로 발표하셔서 내용을 쫓아가기 힘들지 않았습니다.
다만 취약점 발생 부분에 대해 설명할 때 저에겐 구글링 이외에는 할 것이 없더군요.
(편식하지 말아야했는데)
포너블을 익혀야겠다고 확정적으로 마음을 먹게 된 계기가 된 발표였습니다.
(윈도우 운영체제를 좋아하는 사람인데 커널 취약점 하나만 찾을 수 있으면 좋겠어요)
4. 후기
컨퍼런스를 참여한 이후 아쉬운 부분이 몇몇 느껴집니다.
영어 리스닝, 스피킹이 원할히 되지 않는다는 점,
사교 능력이 부족하다는 점,
(처음보는 사람과 대화할 때 너무 부끄럽습니다)
리버싱만 편식을 했다는 점
(프로젝트에 방해가 되지 않는 선에서 다른 부분도 기초 수준까지 끌어올려야겠습니다)
고칠 수 있었던 점인데도 불구하고 시간이 안된다는 핑계로 생략하던
제가 너무 한심하게 느껴졌습니다.
그래도 만족할 수 있었던 점이 있었습니다.
Windows 나 악성코드에 관련된 발표에서는 리스닝 실력이 부족한 점을
경험을 통해 부족한 리스닝 실력을 메꾸었다는 점입니다.
전에 비해서 좁은 우물에서 한 발짝 내딛은 느낌이 듭니다.
컨퍼런스는 통해서 발전한, 아직은 부족한 저, 자신을 보았습니다!
지금처럼 발전하기 위해서 꾸준히 노력한다면..
언젠가 POC 컨퍼런스 같은 정보의 홍수도 담아낼 수 있는 그릇을 만들 수 있을 거라 생각합니다.
5. 요즘 하는 일..
1. 악성코드(ShadowPad, Shellcode)를 분석하고 있습니다.
바이너리 안의 데이터를 복호화하는 코드를 발견했습니다.
쉘코드가 무엇인지 몰라서 쉘코드를 만들어보고 학습하는 중입니다.
(그래도 발견하기 힘들다면 보고서를 볼 예정입니다)
쉘코드로 추정되는 부분이 있습니다만 확신을 가지기 위해서 정보를 수집하는 중입니다.
2. Demon팀에 지원신청을 했습니다.
11월 1일 때 프로필을 작성해서 보내고
POC의 일정을 감안하여 11월 9일을 기준으로 3일 후 문의를 할 예정입니다.
3. 기말고사를 향해 달리는 중입니다.
노력을 했더니 진짜 내신이 떡상했습니다. (전학기 대비 평균 10점 상승)
내신과 전공을 같이 챙기기 위해 많은 노력을 기울이는 중 입니다.
4. 웹 클라우드 서비스 구축 준비 중
클라우드 아키텍쳐, 아키텍쳐 설계, 웹에 이용되는 몇몇 언어들과
문서를 자동으로 작성하기 위해 구글 문서의 기능을 조금 응용해볼 생각을 하고 있습니다.
분석 보고서와 윈도우 아키텍쳐 포스트와 함께 찾아오겠습니다!
'취미 > 나를 되돌아 보는 시간' 카테고리의 다른 글
| 해야할 일 (1) | 2018.12.14 |
|---|---|
| Demon 팀에 지원한 이후.. (초안, 수정중) (0) | 2018.11.24 |
| IT 정보보안 세미나 제 3회 후기 (2) | 2018.10.15 |
| 어느 작은 개구리의 이야기 (수정중) (1) | 2018.09.29 |
| 공부해야할 목록 (1) | 2018.09.17 |
